Diario de GipuzkoaDiario de Noticias de Gipuzkoa. Noticias de última hora locales, nacionales, e internacionales.

Saltar al Contenido

Períodico de Diario de Noticias de Gipuzkoa
Javier Gurruchaga | director del departamento de seguridad lógica de kutxabank

“El pago solicitado por los rescates tras un ataque es más ‘rentable’ que mantener la compañía parada durante días sin poder acceder a los datos”

La tercera parte de las jornadas Cybersec, que se celebrará mañana jueves en Tabakalera, tiene lugar escasos días después del ciberataque masivo que se produjo el pasado viernes y que afectó a grandes compañías. Así, se presentarán los tipos de ataques más comunes y se situará la ciberseguridad en la industria 4.0

Naiara Puertas - Miércoles, 17 de Mayo de 2017 - Actualizado a las 06:10h

Javier Gurruchaga, director del departamento de seguridad lógica de Kutxabank.

Javier Gurruchaga, director del departamento de seguridad lógica de Kutxabank. (Ruben Plaza)

Galería Noticia

Javier Gurruchaga, director del departamento de seguridad lógica de Kutxabank.

donostia- Tras la celebración de una jornada dedicada a escolares, padres y educadores;y de una segunda jornada consistente en un reto de ciberseguridad, el capítulo final de CyberSec -dedicado a las empresas- viene de la mano en el tiempo con un ciberataque sin precedentes del que las compañías aún se están recuperando. El director del Departamento de Seguridad Lógica de Kutxabank participará, junto con otros CISO de compañías como Gas Natural, Renfe o Euskaltel, en la ponencia sobre proyectos y experiencias en ciberseguridad enmarcada dentro de la última fase de las jornadas CyberSec, que patrocina NOTICIAS DE GIPUZKOA.

¿Ha habido algún tipo de delito informático que haya crecido de manera significativa últimamente?

-Hay uno que, sin duda, está cobrando una gran importancia: el ransomware, que se está convirtiendo en una industria en crecimiento. Es un software malicioso que ataca tanto a particulares como a empresas y que trata de llegar hasta nuestros dispositivos utilizando diferentes artimañas con el objetivo de cifrar todos nuestros datos para que no tengamos acceso a ellos y, en consecuencia, solicitarnos una cantidad de dinero por rescatarlos. Es una tendencia peligrosa con la que los ciberdelincuentes están aprovechando el momento para ganar importantes cantidades de dinero, ya que el hecho de que este tipo de malware vaya dirigido a compañías cada vez más grandes, hace que el pago solicitado por el rescate sea másrentableque tener la compañía parada sin poder acceder a los datos durante varios días.

¿A qué tipos de ataques de ‘ransomware’ estamos expuestos?

-Los ataques de ransomware tienen diferentes variantes y utilizan fundamentalmente el correo electrónico que incluye, bien un archivo que al abrirlo infecta el equipo, bien una URL que al navegar sobre ella descarga un archivo que infecta igualmente el equipo. Asimismo, aprovechan vulnerabilidades en elsoftware de páginas web, de tal manera que, cuando un usuario accede a ellas, estas descargan el archivo que infectará nuestro equipo. (Esta parte de la entrevista tuvo lugar la pasada semana, y el ciberataque masivo se produjo, precisamente, mediante el sistema citado).

¿Qué clase de deficiencias por parte de las empresas ha dejado al descubierto el ataque del pasado viernes?

-Por sus características, va a establecer una clara diferenciación entre aquellas organizaciones que disponen de una estrategia, medios y procedimientos de ciberresiliencia, de aquellas que no los tienen. La diferencia entre unas y otras es que la organización preparada aplicará los procedimientos de seguridad establecidos: su sistema de monitorización alertará de patrones anómalos, los equipos afectados se aislarán, se identificará el método de ataque, etc. Todo ello dentro de un tiempo que no superará las primeras 24/48 horas desde que se haya producido el incidente y su negocio continuará funcionando sin incidentes. Las organizaciones que no dispongan de una estrategia y de procedimientos de seguridad ante incidentes, deberán soportar varias jornadas sin conocer realmente el grado de afectación y el daño producido por el ataque, lo que redundará en un daño reputacional importante para ellas.

Desde Telefónica se ha llegado a asegurar que el ataque no fue para tanto, ¿comparte esa opinión?

-Ni comparto ni disiento, creo que cada organización tiene su punto de vista y el punto de salida de cada empresa es diferente. Lo que para Telefónica puede no ser para tanto porque dispone de los medios suficientes y está preparada ante este tipo de incidentes, para otras empresas -sobre todo pymes con medios muy limitados- puede suponer una afección grave. Según expertos técnicos en seguridad a los que he consultado, el malware denominado Wanna Cry, por sus características es verdaderamente malicioso y excepcionalmente virulento debido a sus cualidades de reproducción y expansión por los sistemas. En concreto, los sistemas de información de Kutxabank no se han visto afectados, pero nuestros equipos técnicos han trabajado intensamente desde que surgió la noticia en rebajar los niveles de riesgo.

¿Cómo han mejorado los sistemas de seguridad de Kutxabank en estos últimos años? ¿Cuáles son las zonas más vulnerables?

-Banca online, banca móvil, oficina flagship (Arrasate kalea en Donostia), servicio de banca personal a través de Internet, etc., son los nuevos retos del negocio financiero para esta década que van a depender del buen uso de las tecnologías de la información y requieren de una adaptación constante de nuevos sistemas de seguridad. Nuevos métodos de identificación, autenticación fuerte, OTP, identificación a través de la huella, sistemas biométricos... son sistemas de seguridad que, en algunos casos, ya se han implantado o están en fase de implementación en Kutxabank. Todo ello, además, va unido a la fuerte regulación en materia de seguridad a la que estamos sujetas las entidades financieras desde los organismos europeos, lo que hace que los sistemas de seguridad tengan un ciclo de vida de mejora continua.

Al margen de lo que acometan las compañías, ¿cómo pueden protegerse los usuarios?

-Los usuarios de los sistemas de una entidad financiera (clientes, empleados, usuarios proveedores y otros stakeholders) deben ser conscientes de que al igual que protegen sus activos físicos, también deben hacerlo con los virtuales. Algunos de los más preciados son nuestros datos confidenciales y nuestra información personal, tales como información bancaria, claves o contraseñas.

¿Cuáles son las normas más intuitivas y fáciles de implementar?

-Algunas reglas básicas son no abrir correos electrónicos no confiables que contengan adjuntos y/o enlaces a direcciones de Internet sospechosas;tener actualizados con los últimos parches de seguridad los sistemas desde los que estemos operando;disponer de un antivirus actualizado;no instalar aplicaciones que no procedan de sitios o tiendas oficiales;utilizar diferentes contraseñas y que contengan algún carácter especial, números y letras mayúsculas y minúsculas o introducir datos personales solo en páginas que pertenezcan a dominios seguros del tipo https://.

Al margen de la actividad económica en la que se inserte una empresa, ¿cuáles deberían ser sus primeros pasos a la hora de implantar sistemas de seguridad, independientemente de la actividad a la que se dedique?

-Mi recomendación a la hora de implantar por primera vez un sistema de seguridad en la empresa, en el caso de no contar con personal con conocimientos suficientes de seguridad informática, sería asesorarse por medio de una empresa especializada en seguridad. El comienzo siempre es similar: establecer un Plan Director de Seguridad que tiene por objetivo ofrecer conocimiento corporativo acerca del grado y nivel de seguridad lógica que posee la empresa, así como fijar los mecanismos correctores que permitan ajustar y afianzar el nivel de seguridad. El resultado de este plan nos dará una aproximación del gap existente en la empresa entre la situación actual en esta materia y el objetivo fijado, teniendo en cuenta además las normativas que en materia de seguridad apliquen al sector al que la empresa pertenezca.

Además de lo ocurrido la pasada semana, vemos que los ciberataques se han colado hasta en las campañas electorales. ¿Deberíamos tener más miedo del robo de nuestros datos o, como entidad bancaria que son ustedes, siguen primando los delitos de tipo económico?

-Nosotros como entidad financiera, estamos muy acostumbrados a medir los riesgos económicos porque forma parte importante de nuestro negocio, y desde luego que los delitos de tipo económico los tenemos muy en cuenta. Pero si tenemos en cuenta el ámbito de la ciberseguridad, nunca vamos a estar seguros de los motivos que impulsan a los delincuentes a realizar acciones contra nosotros. Quizás solo busquen un daño reputacional, por ello para nosotros es tan importante como los delitos de tipo económico el proteger los datos personales y económicos de nuestros clientes, con todo tipo de medidas de seguridad.

Porque, ¿qué utilidad tiene a medio plazo perpetrar algún tipo de daño reputacional?

-Evidentemente en un porcentaje muy alto, el fin de todo ciberdelito es obtener un rendimiento económico más o menos inmediato, pero hay veces que este fin se modifica y este rendimiento económico se obtiene a través de perpetrar un daño reputacional a un competidor o robarle información confidencial de negocio que pueda permitir a otro ponerse al mismo nivel y competir de forma ilícita con él.

¿Cuánto de la prevención del ciberdelito está en manos de los usuarios y cuánto en manos de las compañías?

-En muchos de los casos la responsabilidad es compartida. Por una parte las compañías deben concienciarse que así como invierten en tecnología (y esto lo tienen muy interiorizado si quieren competir en los diferentes mercados), esos avances tecnológicos deben ir acompañados de unas inversiones en medidas de seguridad acordes al nivel de criticidad de los datos que se tratan y a la importancia que los sistemas e infraestructuras tienen en el del negocio. Los usuarios deben concienciarse y sensibilizarse de que ellos son el eslabón más débil de la cadena que maneja la seguridad y si queremos que los sistemas de seguridad sean mínimamente eficaces hemos de estar en constante alerta y ponérselo algo más difícil para no caer en las trampas que nos colocan los ciberdelincuentes.

¿Con qué tipo de coberturas cuenta, por ejemplo, Kutxabank, si tuviéramos un caso de robo de datos o dinero, cómo se reacciona?

-Kutxabank cuenta con coberturas suficientes para hacer frente a los casos en los que la responsabilidad recaiga de forma clara sobre la entidad, independientemente de que analice constantemente cualquier fórmula que permita mejorar las coberturas en forma de contratación de nuevas pólizas u optimización de las existentes.


COMENTARIOS:Condiciones de uso

  • No están permitidos los comentarios no acordes a la temática o que atenten contra el derecho al honor e intimidad de terceros, puedan resultar injuriosos, calumniadores, infrinjan cualquier normativa o derecho de terceros.
  • El usuario es el único responsable de sus comentarios.
  • Noticias de Gipuzkoa se reserva el derecho a eliminarlos.
  • Avda. Tolosa 23 20018 Donostia
  • Tel 943 319 200 Fax Administración 943 223 900 Fax Redacción 943 223 902